《汽车数据安全管理若干规定(试行)》简析
作者:徐杰峰
引言
近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),将于2021年10月1日起施行。
随着新一代信息技术与汽车产业加速融合,智能汽车产业、车联网技术的快速发展,汽车数据安全问题和风险隐患也日益突出。例如某知名智能汽车制造商的行车数据风波就引起了极大的社会关注。国家互联网信息办公室(以下简称“国家网信办”)也在最快的时间里出台了《汽车数据安全管理若干规定(征求意见稿)》(以下简称《征求意见稿》)。今年5月征求意见至今,仅历时3个月就出台了《规定》,可见监管机构对于汽车数据安全的高度重视。《规定》作为《网络安全法》《数据安全法》的重要配套制度,将对我国汽车数据安全保护提供有力的法治保障。本文旨在对《规定》的要点进行梳理,解读汽车数据安全管理的要求。
一、 汽车数据和汽车数据处理者的界定
对于汽车数据的定义,《规定》在《征求意见稿》的基础上作了较大的完善。汽车数据是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。从汽车数据的产生环节来看,《规定》基本上涵盖了汽车的全生命周期,与《数据安全法》所规定的全流程数据安全管理制度相呼应。
个人信息 | 指以电子或者其他方式记录的与已识别或者可识别的包括车主、驾驶人、乘车人、车外人员等有关的各种信息,但不包括匿名化处理后的信息。 |
敏感个人信息 | 指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全等受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。 |
重要数据 | 指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据包括: (一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据; (二)车辆流量、物流等反映经济运行情况的数据; (三)汽车充电网的运行数据; (四)包含人脸信息、车牌信息等的车外视频、图像数据; (五)涉及个人信息主体超过10万人的个人信息; (六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能影响国家安全、公共利益或者个人、组织合法权益的数据。 |
就个人信息和敏感个人信息而言,《规定》还参照正在起草的《个人信息保护法》的规定,完善了汽车数据中的个人信息和敏感个人信息的主体范围,包括车主、驾驶人、乘车人和车外人员等。《规定》将《征求意见稿》中的“行人”修改为“车外人员”极大的增加了被保护的个人信息和敏感个人信息的主体范围。
就重要数据而言,《规定》不仅规定了重要数据的抽象定义,而且还通过不完全列举的方式明确了主要的重要数据类型。不同于个人信息因其主体较为确定而易于认定,重要数据还涉及到更为广泛的国家安全和公共利益,因此自起草《数据安全法》以来如何认定某项数据是否是重要数据一直是企业的痛点。
鉴于国家数据安全工作协调机制尚未制定重要数据目录,汽车、交通管理行业也尚未制定重要数据具体目录,我们认为,《规定》关于汽车数据中重要数据范围的规定,将暂时发挥汽车和交通管理行业的重要数据具体目录的作用,为认定汽车数据中的重要数据提供明确的操作指引。
《规定》所称的汽车数据处理者是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出现服务企业。相较于《征求意见稿》,《规定》较大的变化是将“网约车企业、保险公司”修改为“出行服务企业”,一方面,网约车、汽车保险的确属于汽车出现服务行业的一个细分领域,《规定》并没有将网约车企业、保险公司排除在汽车数据处理者的范围之内,另一方面,出现服务行业更为抽象,为以后对新兴的出现服务行业进行监管提供了制度弹性,以避免法律法规的滞后性。
二、 汽车数据处理活动的原则及一般性要求
《规定》倡导汽车数据处理者在开展汽车数据处理活动时应坚持以下四项原则:
原则 | 原则内容 |
车内处理原则 | 非必要不向车外提供汽车数据 |
默认不收集原则 | 除非驾驶人自主设定,每次驾驶应默认设定为不收集状态 |
精度范围使用原则 | 摄像头、雷达等覆盖范围、分辨率等不应超过所提供的功能服务的必需的数据精度 |
脱敏处理原则 | 尽可能对汽车数据进行匿名化、去标识化处理 |
除上述四项原则外,汽车数据处理者还应当遵守以下一般性规定:
一般性规定 | 具体内容 |
适当性 | 处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关 |
网络安全等级保护制度 | 利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护制度,加强汽车数据保护,依法履行数据数据安全义务 |
三、 《规定》对个人信息保护
针对个人信息处理活动,《规定》吸收了《民法典》以及正在起草的《个人信息保护法》的相关规定,采取“告知——同意规则”,即在处理个人信息之前,汽车数据处理者应当通过显著的方式向个人告知处理个人信息的目的、用途、方式等事项,并且除非法律、行政法规规定的情形外,汽车数据处理者还应当获得个人同意方可处理个人信息。
《规定》第8条第2款,还针对汽车出行的特殊性,设定了一项“告知——同意规则”的豁免情形,即为保证行车安全需要,在无法征得个人同意时,汽车数据处理者可以采集车外个人信息并向车外提供。但是,汽车数据处理者应当对该等个人信息进行匿名化处理。
针对敏感个人信息的处理,《规定》要求汽车数据处理者应当履行以下义务或者符合法律、行政法规和强制性国家标准等其他要求:
义务类型 | 具体内容 |
目的明确 | 具有直接服务员个人的目的 |
告知义务 | 以显著方式告知处理敏感个人信息的必要性以及对个人的影响 |
单独同意 | 取得个人单独同意,且个人可以自主设定同意期限 |
提示收集状态 | 在保证行车安全的前提下,以适当方式提示收集状态,并为个人终止收集提供便利 |
及时删除 | 个人要求删除的,应在10个工作日内删除 |
对于指纹、声纹、人脸、心率等生物特征信息的收集,汽车数据处理者应具有增强行车安全的目的和充分的必要性。
针对个人信息数据的存储地和数据出境管理,《规定》针对所涉及个人信息主体数量的不同,采用两种管理体系:一方面,涉及个人信息主体超过10万人的个人信息属于重要数据,适用《规定》中重要数据的存储地和出境管理制度;另一方面,未列入重要数据的个人信息数据的出境安全管理适用其他法律、行政法规的有关规定,即将要出台的《个人信息保护法》。
四、 《规定》对重要数据的保护
重要数据是一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,因此保护重要数据安全对于经济社会发展有着至关重要的意义。基于《数据安全法》的既有制度,《规定》对汽车数据处理者开展重要数据处理活动的安全保护义务进行了细化:
义务类型 | 具体内容 |
风险评估义务 | 汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告;风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等(第10条) |
数据出境安全管理义务 | 重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估(第11条) 汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等(第12条) |
年度报告义务 | 汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况(第13条) 向境外提供重要数据的汽车数据处理者还应当补充报告有关情况(第14条) |
五、 《规定》对企业的影响
我们认为《规定》出台为涉及汽车数据处理活动的企业提供了明确的监管框架,对于企业而言:
1. 包括个人信息和重要数据在内的汽车数据、汽车数据处理、汽车数据处理者的界定更加明确清晰;
2. 在处理个人信息方面,应当严格依据“告知——同意规则”,以显著方式向个人告知《规定》所列举的事项;
3. 应当积极开展风险评估义务,并及时向监管机构报送风险评估报告;
4. 应当落实重要数据境内存储的规则,向境外提供重要数据前应当主动申报并接受国家网信办及有关部门组织的安全评估。已经安全评估的,应严格按照安全评估所确定的目的、范围、方式和数据种类、规模向境外提供数据;
5. 应当安排专人负责落实年度报告工作。
- 2016-03-11
- 2015-11-16
- 2021-08-20
- 2017-04-13
- 2017-04-13
- 2017-02-14
